Windows操作系统安全研究

1、Windows操作系统平安研究inds操作系统平安研究从1998年开场，微软平均每年对自己的产品公布大约70份平安报告，一直在坚持不懈的给人们发现的那些破绽打补丁，inds这种操作系统之所以平安风险最高可能是因为它的复杂性和普及度广，百度一下你就知道从NT3.51到Vista，操作系统的代码差不多增加了10倍，因为版本要更新，所以inds系统上被悄悄激活的功能会越来越多，因此越来越多的破绽会被人们发现。1以前远程攻击inds系统的途径包括1对用户帐户密码的猜想：inds系统主要的把关者多半都是密码，通过字典密码猜想和认证欺骗的方法都可以实现对系统的攻击。2系统的网络效劳：现代工具使得存在破绽的

2、网络效劳被攻击相当容易，点击之间即可实现。3软件客户端破绽：诸如InternetExplrer阅读器，SN，ffie和其他客户端软件都受到攻击者的亲密监视，发现其中的破绽，并伺机直接访问用户数据。4设备驱动：攻击者持续不断的在分析操作系统上像无线网络接口，usb和d-r等设备提交的所有原始数据中，发现新的攻击点。比方说很早以前，假如系统开放了sb效劳，入侵系统最有效是古老的方法是远程共享加载：试着连接一个发现的共享卷比方$共享卷或者ip$，尝试各种用户名/密码组合，直到找出一个能进入目的系统的组合为止。其中很容易用脚本语言实现对密码的猜想，比方说，在inds的命令窗口里用netuse语法和fr

3、命令编写一个简单的循环就可以进展自动化密码猜想。5针对密码猜想活动的防范措施：使用网络防火墙来限制对可能存在破绽的效劳例如在tp139和445号端口上的sb效劳，tp1355上的srp效劳，tp3389上的ts效劳的访问。使用inds的主机防火墙inxp和更高版本来限制对有关效劳的访问。禁用不必要的效劳尤其注意tp139和445号端口的sb效劳。制定和施行强口令字策略。设置一个账户锁定值，并确保该值夜应用于内建的Adinistratr帐户。记录账户登录失败事件，并定期查看eventlgs日志文件。2获得合法身份后的攻击手段1权限提升：在inds系统上获得用户帐户，之后就要获得Adinistra

4、tr或Syste帐户。inds系统最伟大本文由论文联盟搜集整理的黑客技术之一就是所谓的Getadin系列，它是一个针对indsnt4的重要权限提升攻击工具，尽管相关破绽的补丁已经发布，该攻击所采用的根本技术dll注入仍然具有生命力.因为Getadin必须在目的系统本地以交换方式运行，因此其强大功能受到了局限.2对于权限提升的防范措施：首先要及时更新补丁，并且对于存储私人信息的计算机的交互登录权限作出非常严格限制，因为一旦获得了这个重要的立足点之后，这些权限提升攻击手段就非常容易实现了，在inds2000和更高版本上检查交互登录权限的方法是：运行lal/grupseuritypliy本地策略组平

5、安策略工具，找到lalpliiesuserrightsassignent本地策略用户权限结点，然后检查lgnlally本地登录权限的授予情况。3获取并破解密码：获得相当于Adinistratr的地位之后，攻击者需要安装一些攻击工具才能更近一步的控制用户计算机，所以攻击者攻击系统之后的活动之一就是搜集更多的用户名和密码。针对indsxpsp2及以后的版本，攻击者侵入后用户计算机后首先做的一件事就是关掉防火墙，因为默认配置的系统防火墙可以阻挡很多依赖于inds网络辅助的工具制造的入侵。4对于密码破解攻击的防范措施：最简单的方法就是选择高强度密码，如今多数inds系统都默认使用的平安规那么密码必须满

6、足复杂性要求，创立和更改用户的密码的时候要满足以下要求以indsServer2022为例：不能包含用户名和用户名字中两个以上的连接字符；密码长度至少要6位；必须包含以下四组符号中的三组：大写字母A到Z小写字母a到z数字0到9其他字符例如$，%，*3inds平安功能3.1inds防火墙indsxp里有一个名为Internetnnetinfireallif因特网连接防火墙的组件，微软在XP后续版本里对这个防火墙做了很多改良并把它重新命名为indsFireall。新名字的防火墙提供了更好的用户操作界面：保存了Exeptin例外设置项，可以只允许例外的应用程序通过防火墙；新增加了一个Advaned高级

7、选项卡，用户可以对防火墙的各种细节配置做出调整。另外，如今还可以通过组策略去配置防火墙，为需要对很多系统的防火墙进展分布式管理的系统管理员提供了便捷。3.2inds平安中心平安中心Seurityenter可以让用户观察和配置很多系统平安安防功能：indsFireall防火墙，indsUpdate自动更新，Internetptins因特网选项。平安中心的目的瞄准的普通消费者而并不是IT专业人员，这一点可以从它没有提供SeurityPliy平安策略和ertifiateanager证书管理器等高级平安功能配置界面上看出来。3.3inds组策略怎样去管理一个很大的计算机群组？这就需要组策略GrupPl

8、iy，它是功能非常强大的工具之一。组策略对象GPgruppliybjets，gp被保存在活动目录AtiveDiretry或一台本地计算机上，这些对象对某个域或本地机器的特定配置参数做出了定义。GP作用于站点，域，或组织单元rganizatinalUnit，u，包含在其中的用户或计算机称为有关GP的成员将继承GP的设置。用户可以从组策略页上看到施加在选定对象上的GP规那么按优先级排列以及这些规那么是否允许继承，还可以对GP规那么进展编辑。GP似乎是对使用inds2000及其后续版本的大规模网络进展平安配置的终极手段，但在同时激活本地和域级别的策略时，可能会出现一些奇怪的问题，而组策略生效前的延迟

9、也很让人恼火。消除这个个延迟的方法之一是用seedit工具立即刷新有关策略。用seedit命令刷新策略的详细做法是翻开运行run对话框并输入：seedit/refreshpliyAHINE_PLIY假如你想刷新usernfiguratin结点下的策略，就要输入：seedit/refreshpliyUSER_PLIY3.4inds资源保护inds2000和xp新增一项名为indsFilePrtetinfp，inds文件保护的功能，它能保护由inds安装程序安装的系统文件不被覆盖。并且之后在indsVista版本中做了更新，增加了重要的注册键值和文件，并更名为RPinds资源保护。RP有一个弱点在

10、于管理员用于更改被保护资源的ALAessntrlList，访问控制列表。默认设置下，本地管理员组别用于setakenership权限并接收任何受RP保护资源的所有权。因此被保护资源的访问权限可能被拥有者任意更改，这些文件也可能被修改，交换或删除。RP并非被制作用来抵御假的系统管理员，它的主要目的是为了防止第三方安装者修改对系统稳定性有重大影响的受保护文件。3.5内存保护：dep微软的DataExeutinPreventinDEP，防止数据执行机制由硬件和软件协同构成。DEP机制将在满足其运行要求的硬件上自动运行，它会把内存中的特定区域标注为不可执行区除非这个区域明确地包含着可执行代码。很明显，这种做法可以防住绝大多数堆栈型缓冲区溢出攻击。除了依靠硬件实现DEP机制外，XPSP2和更高版本还实现了基于软件的DEP机制去阻断各种利用inds异常处理机制中的破绽的攻击手段。inds体系的StruturedExeptinHandlingSEH，构造化异常处理机制一直是攻击者认为最靠普的可执行代码注入点。4完毕语inds的系统平安挑战：对于inds操作系统是否平安的争论已经有很多，并且以后肯定还会有更多，不管这些消息是来自微软，微软的支持者，还是来自微软的反对者，只有时间才能证明它们是对还是